11.4.1リリース ノート:新機能

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

このドキュメントは、NetWitness Platform 11.4.1.0の機能拡張と修正について記述しています。NetWitness Platform 11.4.1.0の新規導入や更新を行う前にお読みください。

アップグレード パス

NetWitness Platform 11.4.1.0は次のアップグレード パスをサポートしています。

  • RSA NetWitness Platform 11.2.x.xから11.4.1.0
  • RSA NetWitness Platform 11.3.0.xから11.4.1.0
  • RSA NetWitness Platform 11.3.1.xから11.4.1.0
  • RSA NetWitness Platform 11.3.2.xから11.4.1.0
  • RSA NetWitness Platform 11.4.0.xから11.4.1.0

11.4.1.0へのアップグレードの詳細は、『Upgrade Guide for RSA NetWitness Platform 11.4.1』を参照してください。

機能拡張

NetWitness Platform 11.4.1.0は、次の機能拡張を提供します。

カスタマ エクスペリエンス向上プログラム

RSA NetWitness Platformカスタマ エクスペリエンス向上プログラム(CEIP: Customer Experience Improvement Program)は、RSA NetWitnessを継続的に改善するためのイニシアティブです。お客様がCEIPを有効化すると、個々のユーザのRSA NetWitness Platformでの作業状況が分析されます。その際、ユーザのワークフローに割り込みを行ったり、ユーザ個人を特定することはありません。このプログラムにより、RSAはお客様の導入環境やライセンス利用状況に関する洞察と、表示されたページや実行されたアクションに関する分析を取得します。RSAはこれらの分析情報を将来のリリースに追加する新機能や拡張機能の優先度を決定するために使用します。詳細は、『System Configuration Guide』で「Configure the Customer Experience Improvement Program」を参照してください。

注: バージョン11.4.0.xまでは、RSA Live FeedbackのオプションとしてAdditional Feedback Insights(付加的なFeedback Insights)を提供していました。この機能はCEIPに包含されるため、今後このオプションを個別に選択することはできません。

調査

イベント調査のパフォーマンス向上

調査のパフォーマンスが大幅に向上し、[イベント]ビューでのページの読み込み、再構築、右クリックの応答時間がより高速になりました。

[イベント]ビューでのメール再構築の改善

[イベント]ビューでメール再構築を簡単に実行できるよう再設計されました。アナリストは、[レガシー イベント]ビューでのメール再構築のフローと同様に、[イベント]ビューから直接メール セッションを再構築できます。詳細は、『Investigate ユーザ ガイド』で「[イベント]ビューでのイベントの再構築」を参照してください。

メール分析

[イベント]ビューでの分割セッションと関連イベントのグループ化

[イベント]ビューには、デフォルトで、分割セッション内の各イベントと関連セッションがパースされた順に表示されます。その結果、関連イベントがリストの一か所にまとめて表示されない場合があります。分割セッションは次の理由により発生します。

  • 元のイベントに含まれるトランザクションごとに個別のイベントが作成されたため、元のイベントが複数のサブパーツに分割された。
  • 元のセッションのサイズがAssembler Maximum Size(デフォルト=32 MB)を超えるため、Network Decoderが取り込む際に分割された。
  • 元のセッションの時間がAssembler Timeout Session(デフォルト=60秒)を超えるため、Network Decoderが取り込む際に分割された。

関連イベントは分割セッションとは異なります。関連イベントは、パターンに基づき、精査する価値のあるイベントがすぐにわかるようグループ化されたものです。各イベントは同じソースIPアドレス、宛先IPアドレス、ソース ポート、宛先ポートを持ちます。

イベント グループ機能は、キャプチャされたデータの中からより簡単に関係を検出できるよう、イベントをグループ化します。ユーザ インタフェースには、主イベントの下に後続イベントがネストされた状態で表示されるため、主イベントと後続イベントを簡単に把握できます。詳細は、『IInvestigate ユーザ ガイド』で「[イベント]ビューと[レガシー イベント]ビューでの分割セッションおよび関連セッションのイベントのグループ化」を参照してください。

グループ化されたイベントの例

[イベント]ビューでのクエリ作成の高速化、簡略化

より簡単かつ高速にフィルタを作成し、クエリを構築できるよう、継続的にユーザ インタフェースの機能向上が行われています。詳細は、『IInvestigate ユーザ ガイド』で「[イベント]ビューでのイベントのフィルタリング」を参照してください。

ガイド モードとフリー フォーム モードが組み合わされたクエリ バーの例

  • ガイド モードの強力な自動入力機能と値候補表示機能、フリー フォーム クエリの入力および貼り付けが、モード切り換え不要で完全に統合されました。クエリ バーに入力、貼り付けされたテキストは、簡易フィルタまたはフリー フォーム フィルタとして適切に解釈されます。メタ キー、演算子、値のシーケンスを入力し、Enterキーを押すことなく入力を続けた場合、自動的にフリー フォーム モードのオプションが有効になり、クエリの入力を続けることができます。
  • クエリ全体をクリップボードにコピーするオプションが追加されました。1つのフィルタを選択して右クリックし、[Copy entire query ]を選択します。クリップボードにコピーされた内容を他のアナリストと共有したり、クエリ バーに張り付けることができます。
    クエリ全体をコピーする新しいオプション
  • [イベント]ビューのクエリ バーでフィルタを作成する時、キーボード コマンドを使用してすべてのフィルタを選択(MacOSではCmd+A、WindowsではCtrl+A)し、クリップボードにコピー(MacOSではCmd+C、WindowsではCtrl+C)できます。クリップボードにコピーしたテキストは、他のアナリストと共有したり、クエリ バーに貼り付ける(MacOSではCmd+V 、WindowsではCtrl+V)ことができます。
  • クエリ作成時のユーザ操作性を向上するため、フィルタ入力時にメタ キーの後に区切りスペースなしで演算子(!==<<=>>=)が入力された場合、正しい入力として受け入れるようになりました。クエリ バーのフィルタには、メタ キーと演算子の間、演算子と値の間にスペースが必要です。フィルタ入力時に値や演算子の候補を自動表示するため、原則としてほとんどの演算子は区切りスペースを入力してから入力する必要があります。これらの演算子が区切りスペースなしで入力された場合でも、値の候補が自動的に表示され、メタ キーと演算子の間には自動的にスペースが追加されます。

[イベント]ビューのイベント リストをソートなしで表示可能に

昇順または降順にソートしてイベントを表示するのに加え、ソートなしで、コア サービスが処理した順にイベントを表示するよう環境設定できます。ソートなしの場合、処理が高速になります。これは、一致するイベントが見つかったら即座に表示するのと、すべてのコア サービスの応答を待ってから指定された順に結果を並べ替えて表示する違いによるものです。[ソートしない]を選択した場合、一番先に一致したイベントから、ソートすることなくリストに表示されます。詳細は、『Investigate ユーザ ガイド』で「[イベント]ビューの構成」を参照してください。

新しい[ソートしない]設定が表示された[イベント環境設定]メニュー

列のソート設定の操作性向上

[イベント]リストの列のソート設定が見やすく、使いやすくなりました。各列の昇順、降順を選択する矢印が目立つようになり、選択済みの矢印を2回目にクリックすると簡単にソートなしの状態に戻すことができます。詳細は、『IInvestigate ユーザ ガイド』で「イベント リストでの列と列グループの使用」を参照してください。

新しい列ソート インタフェースの例

Decoder、Log Decoder、Log Collectorサービス

Log Decoderでのカスタム証明書の構成

Log Decoder上のSyslogリスナにカスタム証明書を構成できるようになりました。これにより、Syslogリスナで独自の信頼する証明書を使用できます。他のすべての機能では引き続きプリ インストールされた証明書が使用されます。詳細は、『Decoder Configuration Guide』で「(Optional) Configure Custom Certificates on Log Decoders」を参照してください。

Log Collectorでのカスタム証明書の構成

Log Collector上のSyslogリスナにカスタム証明書を構成できるようになりました。これにより、Syslogリスナで独自の信頼する証明書を使用できます。他のすべての機能では引き続きプリ インストールされた証明書が使用されます。詳細は、『Log Collection Configuration Guide』で「(Optional) Configure Custom Certificates on Log Collectors」を参照してください。

Log Collectorでのアドレス(IP/ホスト名)または名前によるイベント ソース検索

Log Collectorには、収集プロトコル(例:ファイル収集)ごとに多くの事前構成されたイベント ソースが表示されます。イベント ソースのアドレス(IP/ホスト名)または名前によって検索し、目的のイベント ソースをより簡単に見つけられるようになりました。詳細は、『Log Collection Configuration Guide』で「Log Collection Event Sources Tab」を参照してください。

SSL/TLS証明書のSHA-256拇印のメタ データ生成

Network Decoderは、SHA-1ハッシュ形式に加えて、SSL/TLS証明書のSHA-256拇印のメタ データを生成し、調査と分析に使用できるようになりました。詳細は、『Decoder Configuration Guide』で「TLS Certificate Hashing」を参照してください。

管理

イベント ソース履歴チャートを[ヘルスモニタ]からイベント ソース管理に移動

履歴チャートを除き、イベント ソースに関するすべての情報は[ヘルスモニタ]ビューから、[イベント ソース]>[管理]ビューに既に移動していました。11.4.1では、履歴チャートが移動しました。以前のリリースでは、[管理]>[ヘルスモニタ]ビューの[イベント ソース モニタリング]タブから履歴チャートを表示できました。11.4.1では、[管理]>[イベント ソース]ビューの[管理]タブから表示できます。詳細は、『Event Sources Management User Guide』で「Historical Graph for System Stats」を参照してください。

Analyst UIでのSSO認証のサポート

複数のNetWitness Platformユーザ インタフェース インスタンスを導入した環境で、アナリストのシングル サイン オン(SSO)がサポートされるようになりました。

deploy_adminアカウントの管理を簡略化

deploy_adminアカウントは、すべてのNetWitness Platformで使用されるパスワード ベースのシステム アカウントです。deploy_adminアカウントは、すべてのホストで同期させておく必要があります。お客様の環境のポリシーによっては、このアカウントのパスワードを定期的に更新しなければならない場合があります。11.4.1以降、deploy_admin のパスワードは、NetWitness Server上のnw-manageスクリプトで一元的に管理できるようになりました。nw-manageスクリプトを実行すると、deploy_adminアカウントを使用するすべてのNetWitness Platformコンポーネント ホスト上でパスワードが更新されます。詳細は、『System Maintenance Guide』で「Manage the deploy_admin Account」を参照してください。

ウォーム スタンバイNW ServerのIPアドレス変更

セカンダリNW ServerのIPアドレスが、プライマリNW Serverと異なる場合、手動でフェイルオーバー処理を実施し、ウォーム スタンバイNW ServerのIPアドレスを変更することができます。手順の詳細は、『Deployment Guide』で「Fail Over Primary NW Server to Secondary NW Server with Different IP Address 」を参照してください。

統合

RSA SecurID Accessへの高リスク ユーザ名の転送をサポート

NetWitness PlatformとRSA SecurID Accessの統合により、NetWitness Respond Serverはインシデントに含まれる高リスク ユーザのActive Directoryユーザ名をRSA SecurID Accessに送信できます。Respond Serverでメタ データを構成する方法について、『Respond Configuration Guide』を参照してください。

ESA(Event Stream Analysis)

Nw-ShellでESAルール導入環境のトラブルシューティング メトリックを表示

Nw-Shellを使用して、ESA Correlation Serverから、各ESAルール導入環境のメトリックを表示できます。これらのメトリックには、導入環境で使用するデータ ソースのセッション数、ルールのメモリ使用状況などが含まれます。詳細は、『Alerting with ESA Correlation Rules User Guide 』で「Obtain Correlation Server Metrics for ESA Rule Deployment Troubleshooting Using Nw-Shell」を参照してください。

You are here
Table of Contents > 新機能

Attachments

    Outcomes